entrevista En los últimos nueve años, Oleg Anashkin, un desarrollador de software con sede en San José, California, recibió más de 130 solicitudes para monetizar su extensión del navegador Chrome, Hover Zoom+.
La última de estas propuestas, que generalmente implica agregar código de un socio externo que recopila datos o coloca anuncios, llegó por correo electrónico el miércoles.
«Ofrecemos una asociación en la que puede obtener un rendimiento pasivo sin ningún riesgo de relaciones públicas», dice la carta.
«Nuestro enfoque está en la privacidad del usuario y solo buscamos datos 100 por ciento anónimos. Si está interesado en generar ingresos adicionales (hasta $ 20,000 por mes) a partir de datos sin PII, estaré encantado de programar una llamada para compartir detalles.»
Los detalles de estas propuestas varían, explicó Anushkin en un correo electrónico a registro. Pero los rechazó a todos.
Esta es una buena noticia para los fanáticos de Hover Zoom+. Sin embargo, para aquellos que usan extensiones vendidas a personas sin escrúpulos, esto puede ser una muy mala noticia: es probable que esos usuarios ni siquiera se den cuenta de que su complemento favorito se ha actualizado silenciosamente para obtener su información de la navegación y ganar dinero con los clics en los enlaces. a través de programas de afiliados, o peor.
Aquellos que quieran comprarlo directamente lo rellenarán con malware dependiendo de su nivel de codicia.
«Los actores que me piden que agregue un código de seguimiento están interesados principalmente en revender los datos de los usuarios», dijo Anashkin. “Los actores que quieran comprarlo directamente lo rellenarán con malware dependiendo de su nivel de codicia: secuestrando enlaces de afiliados, manipulando resultados de búsqueda, mostrando ventanas emergentes con sitios web sospechosos, etc.”
Anechkin que comenzó documentación Esta petición en GitHub hace un par de años, en ese momento, explicó: «La razón principal por la que continúo manteniendo esta extensión es porque difícilmente puedo confiar en que otros no caerán en una de estas ofertas.
«Tengo la suerte de tener un trabajo que paga lo suficientemente bien como para permitirme mantener mi brújula moral e ignorar todas estas propuestas. Me doy cuenta de que no todos tienen la misma seguridad financiera, así que espero que este hilo arroje algo de luz sobre qué tipo de Los desarrolladores de extensión de presión están siendo puestos en.
De hecho, en 2014, Anashkin creó el Hover Zoom original, una extensión de Zoom, porque el desarrollador transfirió la propiedad y quien asumió el control del código base lo volteé hacia la recopilación de datos. Este complemento original ahora se ha eliminado de Chrome Store.
“Hace muchos años, había una extensión de Chrome simplemente llamada Hover Zoom”, dijo Anashkin. «Lo estuve usando hasta 2013 cuando se lo vendieron a uno de estos malos actores y… Se le ha agregado malware.. por eso decidí bifurcarlo y elimine todo el malware, análisis, etc.”
«La extensión original dejó de recibir actualizaciones (obviamente) y finalmente fue prohibida y eliminada de Chrome Web Store», agregó.
Según el investigador de seguridad Sam Jadali Informe DataSpii 2019esta eliminación se produjo alrededor del 19 de noviembre de 2015, lo que significa que la extensión se ha estado ejecutando en forma de recopilación de datos durante al menos dos años.
Magia y tratamiento
Parecería que la experiencia de Anechkin es bastante popular. para desarrolladores discusión Estas solicitudes se encuentran en foros en línea y muchos han escrito publicaciones de blog sobre Venta de accesorios o Ofertas de asociación.
Google no respondió de inmediato a una solicitud de comentarios.
Cuando se le preguntó qué se podía hacer para mejorar la situación, Anushkin hizo varias sugerencias.
«Chrome Web Store me pide (al autor de la extensión) que justifique el propósito de cada permiso que usa mi extensión, pero no veo eso expuesto a los usuarios finales», dijo. «Hacer visible esta información ayudará a los usuarios a estar mejor informados antes de instalar nuevas extensiones».
Sugirió que cuando se vendan extensiones o cambien los datos de contacto del desarrollador, Chrome Web Store debe incluir un aviso destacado como «¡Precaución! Nuevos propietarios». Dijo que cualquier cambio en el permiso debería conducir a una revisión del código fuente de la extensión.
Anashkin dijo que sospecha que la mayoría de las extensiones de «monetización» utilizan el mismo conjunto de bibliotecas para recopilar datos de los usuarios. «Chrome Web Store está en condiciones de identificar y revelar estos fragmentos de código en la página de la extensión, de forma similar a como las aplicaciones de Android ahora muestran ‘anuncios que contienen'», dijo.
Para las extensiones de código abierto, dijo Anashkin, la tienda debe verificar para asegurarse de que el código de extensión cargado coincida con el código fuente publicado. Mozilla ya lo hace [for Firefox add-ons]aunque no sin algunos contratiempos,» Él dijo.
dijo Simeon Vincent, quien anteriormente trabajó como promotor de desarrolladores en el equipo de Extensiones de Google Chrome. registro En junio, se mostró optimista acerca de los cambios de política y arquitectura que acompañan a Manifest v3, una revisión de la plataforma de extensión de Chrome que ha estado en marcha durante varios años.
Anashkin estuvo de acuerdo en que podría ayudar, pero dijo que no resolvería todos los problemas.
«Manifest V3 hará que sea imposible descargar y ejecutar código arbitrario para que ayude con algunos tipos de malware, pero no servirá de mucho para las extensiones que tienen acceso completo a todas las páginas (como bloqueadores de anuncios, Grammarly o Hover Zoom+ ),» él dijo. «Estas extensiones aún podrán analizar y modificar el contenido de la página y comunicarse con sus servidores para recopilar datos de los usuarios».
Manifest V3… podría ayudar con algunos tipos de malware, pero no servirá de mucho para las extensiones con acceso completo a todas las páginas.
para él Pasar el cursor + acercarNotamos que tiene más de 300.000 usuarios.
Cuando se le preguntó si las regulaciones que dificultan tales acuerdos de «asociación» o alientan a los desarrolladores a comprometerse a actuar en el mejor interés de los usuarios de la extensión, similar a un agente fiduciario en la industria financiera, podrían ser útiles, Anushkin se mostró escéptico.
«Parece una exageración ofrecer un servicio gratuito a los usuarios», dijo, señalando un tema común entre quienes mantienen minuciosamente proyectos de código abierto pero sin compensación.
«¿Asumir la responsabilidad legal sin siquiera recibir un pago? Tendría que cerrar mi extensión si ese fuera el caso. Tampoco es difícil imaginar que la situación atacaría a los extorsionadores que amenazarían con demandar por incumplimiento de las normas, si no lo hiciera». No estoy de acuerdo en vender la extensión, «El sistema legal estadounidense llevaría a la bancarrota a las personas incluso en el lado victorioso del conflicto». ®
«Fanático del café. Amable aficionado a los zombis. Devoto practicante de la cultura pop. Malvado defensor de los viajes. Organizador típico».